Die Abwarte-Taktik der Sicherheitsbehörde nach Bekanntwerden des millionenfachen Datenklaus sei richtig gewesen, meint Schleswig-Holsteins Beauftragter Thilo Weichert. Mehr als 12 Millioen Anfragen besorgter Internetnutzer.

Berlin/Frankfurt/Main. Im Zusammenhang mit dem millionenfachen Diebstahl von Online-Zugangsdaten hat der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Rückendeckung gegeben. Es sei richtig gewesen, mit der Aufklärung erst einmal zu warten, bis die Behörde in der Lage gewesen sei, einen Check für die Betroffenen anzubieten. Sonst wären wahrscheinlich die Hysterie und die Empörung noch größer gewesen, sagte Weichert am Donnerstag im Deutschlandfunk.

Das BSI als oberste Behörde für die IT-Sicherheit in Deutschland hatte am Dienstag mitgeteilt, dass 16 Millionen Konten von Internetnutzern gekapert worden seien. Das BSI hatte bereits vor Dezember von dem Datenklau erfahren, wie dessen Präsident Michael Hange am Mittwoch gesagt hatte. Die Herausgabe einer Warnung habe aber „extrem gut vorbereitet“ werden müssen.

Bis zum Mittwochmittag hatte das BSI laut Hange bereits 12,6 Millionen Anfragen von besorgten Internetnutzern bearbeitet. Darunter seien 884.000 Betroffene gewesen. Die Behörde bemühe sich, mit dem Ansturm an Anfragen fertig zu werden, sagte Hange am Rande einer Konferenz zur Cybersicherheit. Die Testseite war am Dienstag zeitweise nicht erreichbar, weil viele besorgte Bürger ihre Mail-Daten überprüfen wollten.

Die BSI-Warnung verbreitete sich sehr schnell. Die Web-Seite, auf der Menschen überprüfen konnten, ob sie betroffen sind, ging schon nach kurzer Zeit unter der Flut der Anfragen in die Knie. Hange sagte, die Seite sei inzwischen umprogrammiert worden. Der Ansturm an Anfragen habe auch für das BSI eine neue Dimension.

Hange sagte, das BSI habe bereits vor Dezember von dem Datendiebstahl erfahren. Kurz vor Weihnachten habe das Bundesamt dann die Freigabe dafür bekommen, eine Warnung herauszugeben. „Eine solche Aktion muss aber extrem gut vorbereitet sein.“ Das BSI habe beispielsweise Zeit gebraucht, um den Sicherheitscheck zu programmieren und Datenschutzfragen zu klären. Der Behördenchef versicherte: „Wir haben schon sehr schnell gemacht. Schneller geht es nicht.“

Viele Adressen nicht aus Deutschland

Die gestohlenen Datensätze enthielten laut BSI meist eine E-Mail-Adresse und ein Passwort. Forscher und Strafverfolger seien auf die Daten gestoßen und hätten sie an das Bundesamt übergeben. Nicht alle betroffenen Mail-Adressen würden noch benutzt, betonte Hange. Viele der gekaperten Adressen stammten nicht aus Deutschland, sondern aus anderen EU-Staaten. Es sei deshalb davon auszugehen, dass hinter dem Datenklau ein international agierendes Netz stecke. Identitätsdiebstahl sei als Kriminalitätsform bekannt. Die Dimension des aktuellen Falls sei aber spektakulär.

Die Zugangsdaten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Allein auf das Netz der Bundesregierung gibt es laut BSI 2000 bis 3000 Angriffe pro Tag. Etwa fünf davon sind dabei auf so hohem technischen Niveau, dass ein nachrichtendienstlicher Hintergrund zu unterstellen sei.

Wer die Sicherheit seiner E-Mail-Konten und seines Computers überprüfen möchte, findet hier die wichtigsten Fragen und Antworten dazu.

Wie kann ich feststellen, ob die Zugangsdaten für mein E-Mail-Konto geklaut wurden?

Unter www.sicherheitstest.bsi.de hat das BSI eine Website eingerichtet. Hier können Nutzer ihre E-Mail-Adresse eingeben und bekommen im Fall, dass die E-Mail-Adresse unter den Gekaperten ist, vom BSI eine E-Mail zugesandt .

Was passiert, wenn meine Identität gestohlen wird?

Die E-Mail-Konten werden – wie in dem jetzigen Fall, vor dem das BSI warnt – genutzt, um mithilfe des Kontos andere Identitäten zu stehlen. Unangenehm ist das vor allem, weil häufig die Adressbuch-Funktion genutzt wird, um alle Bekannten anzuschreiben und beispielsweise um Geld zu bitten. Freunde, die einem dann vermeintlich Geld schicken, senden dies dem Unbekannten, der sich Zugang zum E-Mail-Konto verschafft hat. Wer Zugang zu fremden E-Mail-Konten hat, kann häufig auch über eine „Passwort vergessen?“-Funktion neue Passwörter zum Beispiel für das Konto beim Online-Shop anfragen und damit dann unerwünscht einkaufen.

Was sollte ich machen, wenn mein Computer infiziert ist?

Das BSI empfiehlt, mit einem Virenschutzprogramm nach Schadsoftware zu suchen und diese zu entfernen. Ein Virenschutzprogramm sollte zur Sicherheit sowieso auf jedem Rechner installiert werden. Zusätzlich empfiehlt das BSI nicht nur das E-Mail-Passwort, sondern alle Passwörter bei Online-Shops, Sozialen Netzwerken, anderen E-Mail-Konten und anderen Online-Diensten sicherheitshalber zu ändern, wenn der Computer infiziert war.

Was sollte ich bei Passwörtern beachten?

Sichere Passwörter enthalten möglichst Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Je länger und individueller sie sind, desto schwieriger sind sie zu knacken. Passwörter sollten regelmäßig geändert werden. Außerdem empfiehlt es sich, für unterschiedliche Dienste unterschiedliche Passwörter zu benutzen.

Wie kann ich meinen Computer sicherer machen?

Neben einem Anti-Viren-Programm sollte auf jedem Computer eine Firewall installiert sein. Entsprechende Programme gibt es kostenlos im Internet. Die Programme müssen genauso wie das Betriebssystem und der Browser, der zum Betrachten von Internetseiten verwendet wird, regelmäßig aktualisiert werden.

Worauf sollte ich noch achten, wenn ich im Internet surfe?

Vorsicht ist vor allem dort geboten, wo Nutzer persönliche Daten preisgeben oder Dateien herunterladen. Anbieter von Gewinnspielen etwa sammeln teils mehr Daten, als sie benötigen, um diese weiterzuverkaufen. Bei Downloads – auch dem Herunterladen von E-Mail-Anhängen – sollten sich Nutzer immer versichern, von wo sie was laden. Ist die Herkunft unbekannt, sollten Nutzer die Finger davon lassen.

Was passiert mit meinen Daten, die im Internet gesammelt werden?

Oft werden die Informationen für Werbung verwendet, die genau auf Nutzer zugeschnitten ist. Arbeitgeber nutzen das Internet häufig auf der Suche nach Informationen über Bewerber. Die leichtsinnige Preisgabe persönlicher Daten kann auch finanzielle Folgen haben. So nutzen Kriminelle immer wieder Kreditkarten- und Bankverbindungsdaten, um illegal Geld abzubuchen.